Blog

Home / Notícies  / Coneixent els tipus de atacs electrònics: què és el ‘smishing’ i perquè es troba en creixement?

Coneixent els tipus de atacs electrònics: què és el ‘smishing’ i perquè es troba en creixement?

Tot i que les estafes de text d’SMS no són res nou, són un tipus d’amenaça que s’expandeix entre els cibercriminals. Un estudi recent informa que només al 2020 un 84% de les organitzacions s’enfrontaven a atacs d’aquest tipus.

Smishing, o SMS phishing, és un nou motiu de preocupació per la seguretat dels dispositius electrònics amb expansió ja que cada vegada més persones utilitzen telèfons intel·ligents per mantenir-se connectats. Sense anar molt lluny, GSMA estima que 5.200 milions de persones utilitzen serveis mòbils, dels que el 65% són usuaris de telèfons intel·ligents.

Cada vegada depenem més d’aquests dispositius mòbils: La gent utilitza smartphones per a tot, des de les comunicacions per correu electrònic i les comandes de menjar online fins a la banca en línia i el pagament de factures. Aquesta connectivitat creixent significa que nosaltres, com a usuaris, estem sent més fàcils d’arribar per part dels cibercriminals (i estafadors). De fet, l’estat de 2020 de l’informe Phish de Proofpoint indica que és una qüestió global. Per això a Qualtic volem parlar de les estafes de missatges de text basats en SMS, o del que es coneix com a smishing.

Però, en què consisteix aquest tipus de missatges perjudicials? Si alguna vegada heu rebut un missatge de text que diu que hi ha hagut algun tipus de problema (com una “entrega recent” d’Amazon o el vostre compte de PayPal) amb instruccions perquè feu clic en un enllaç per resoldre el problema, probablement heu estat l’objectiu d’un atac d’aquest tipus.

Com reconèixer un atac d’Smishing?

  1. Un cibercriminal us envia un missatge de text SMS des d’un número falsejat. El contingut i el número que el text pot semblar que prové de l’empresa legítima.
  2. Rebeu el missatge del telèfon que provoca algun tipus de resposta. El missatge pot contenir una oferta temptadora, o pot ser una cosa potencialment preocupant que pretén estimular-vos a actuar.
  3. El que fas a continuació és el factor determinant de com funcionen les coses. Si simplement ignores el missatge o l’informes, això és bàsicament el final. Però si fas clic a l’enllaç, et dirigiràs a un lloc web que aparegui llegit (però no ho és). Se us demanarà que proporcioneu informació o que baixeu alguna cosa (com ara una actualització de dispositiu o navegador) abans de continuar.
    1. Se us demanarà que proporcioneu informació que d’altra manera no donaríeu mai. En aquest lloc web se us demanarà que inicieu sessió o que proporcioneu altres detalls sensibles del mateix tipus. Això podria ser informació identificable de tipus personal, un número de targeta de crèdit o dèbit, o fins i tot la vostra informació d’inici de sessió de treball.
    2. Et trobaràs descarregant alguna cosa que contingui programa maliciós. Quan baixis aquest arxiu els has donat accés al teu dispositiu. Poden utilitzar el seu accés per espiar-te, robar informació confidencial o accedir als teus comptes.

Què hi ha que fer en aquests casos?

  • No proporcionis informació personal ni financera en resposta a un missatge de text no sol·licitat o en el lloc web al qual et dirigeixi l’enllaç inclòs en el missatge.
  • No facis clic en enllaços inclosos en missatges de text sospitosos. Poden instal·lar programes maliciosos en el teu dispositiu o dirigir-te a un lloc web que faci el mateix.
  • No responguis, fins i tot si el missatge diu que pots enviar un missatge de text que digui “STOP” (cancel·lar) per a no rebre més missatges. Aquesta acció informa l’estafador que el teu número està actiu i pot vendre-ho a altres delinqüents.
  • No donis per descomptat que un missatge de text és legítim perquè prové d’un número de telèfon o un codi d’àrea coneguts. Els estafadors utilitzen la suplantació de l’identificador de crides (“spoofing”) perquè sembli que el missatge de text prové d’una font de confiança o local.

Per descomptat, molts dels punts de la llista també són aplicables a les empreses. Però hi ha unes quantes coses que les empreses i les organitzacions poden fer a través de la formació dels treballadors.

A Qualtic defensem que el principal és proporcionar formació a tots els empleats. El primer pas per a lluitar contra qualsevol mena de frau cibernètic és educar als seus usuaris sobre els diferents tipus de perills que existeixen. Això inclou l’educació sobre el pishing, smishing i altres tipus d’amenaçes cibernètiques. Moltes de les coses que hem cobert en l’última secció són coses que es poden cobrir amb una bona formació.

També hi ha que tenir en compte utilitzar eines que filtren o bloquegen missatges no desitjats o remitents desconeguts i el dispositiu mòbil pot tenir protecció integrada contra els missatges no desitjats. És important revisar la configuració de les aplicacions de missatgeria.